我们通过kubernetes集群内的kubernetes执行程序运行gitlab-runner个实例(我们称之为KUBE01)。这些实例构建并部署到kubernetes集群,并为运行程序提供环境变量KUBECONFIG(指向配置文件),如下所示:
$ cat $KUBECONFIG
---
apiVersion: v1
clusters:
- name: gitlab-deploy
cluster:
server: https://KUBE01:6443
certificate-authority-data: <CA_B64>
contexts:
- name: gitlab-deploy
context:
cluster: gitlab-deploy
namespace: dev
user: gitlab-deploy
current-context: gitlab-deploy
kind: Config
users:
- name: gitlab-deploy
user:
token: gitlab-deploy-token-<secret>
我们可以验证kubectl实际上是否正在使用上述gitlab-deploy上下文:
$ kubectl config current-context
gitlab-deploy
但是,尝试实际影响KUBE01失败:
$ kubectl get pods
error: You must be logged in to the server (Unauthorized)
在我的机器上,我们可以验证命名空间和服务帐户令牌是否正确:
$ kubectl get sa/gitlab-deploy -o yaml --namespace dev
apiVersion: v1
kind: ServiceAccount
metadata:
<snip metadata>
name: gitlab-deploy
namespace: dev
secrets:
- name: gitlab-deploy-token-<secret>
除了它应该正常工作之外,我找不到任何关于此的文档,并且我发现有关此错误消息的所有论坛/堆栈交换问题都是错误的用户/通行证组合;但据我所知,我的令牌,名称空间和集群都是正确的。
答案 0 :(得分:7)
在详细阅读kuberneter authentication documentation以及一些反复试验后,我发现了问题。
服务帐户对象内的“秘密令牌”不是我们用于服务帐户身份验证的实际秘密令牌;相反,它是一个指向秘密对象的指针,而秘密对象又持有真实(承载)令牌。它可以如下找到:
$ kubectl get secret gitlab-deploy-token-<secret> -o yaml
apiVersion: v1
data:
ca.crt: <CA_B64>
namespace: ZGV2
token: <BEARER_TOKEN_B64>
kind: Secret
metadata:
<snip metadata>
name: gitlab-deploy-token-<secret>
namespace: dev
type: kubernetes.io/service-account-token
承载令牌当然是base64编码的,因为它是一个秘密;但奇怪的是,我们不会在我们的KUBECONFIG文件中对其进行base64编码(就像我们对CA一样)。因此,我们要做的是找到上面的承载令牌,从base64解码它,并将其作为我们的令牌添加到gitlab-deploy用户下。然后,身份验证工作。